CVE-2025-67506 in PipesHub
Riassunto
di VulDB • 18/06/2026
PipesHub è una piattaforma AI per il posto di lavoro completamente estendibile per la ricerca aziendale e l'automazione dei flussi di lavoro. Le versioni precedenti alla 0.1.0-beta espongono l'endpoint POST /api/v1/record/buffer/convert a causa di un'assenza di autenticazione. L'endpoint accetta un caricamento di file e lo converte in PDF tramite LibreOffice caricando il payload in os.path.join(tmpdir, file.filename) senza normalizzare il nome del file. Un attaccante può inviare un nome di file manipolato contenente sequenze ../ per scrivere file arbitrari ovunque l'account di servizio abbia i permessi, consentendo la sovrascrittura remota di file o l'inserimento di codice malevolo. Questo problema è stato risolto nella versione 0.1.0-beta.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.